L’encadrement réglementaire de la résilience opérationnelle ne se résume pas à DORA

Entré en application le 17 janvier 2025, le Règlement (UE) 2022/2554 du 14 décembre 2022, plus connu sous l’acronyme DORA (Digital Operational Resilience Act), a rebâti la résilience numérique du secteur financier en Europe. Compte tenu des risques toujours plus importants de cyberattaques, l’Union européenne (UE) a en effet décidé de renforcer la sécurité informatique des entités financières telles que les banques, les entreprises d’assurance et les entreprises d’investissement. Ce texte sur la résilience opérationnelle numérique du secteur financier doit permettre au secteur européen de maintenir des opérations résilientes en cas de perturbation opérationnelle grave. Pour ce faire, il fixe des exigences uniformes pour la sécurité des réseaux et des systèmes d’information des entreprises et des organisations actives dans le secteur financier ainsi que des tiers critiques qui leur fournissent des services liés aux technologies de l’information et de la communication (TIC), tels que des plateformes d’informatique en nuage ou des services d’analyse de données.

Néanmoins, les textes de mise en œuvre n’étaient pas tous finalisés en janvier dernier. Il a ainsi fallu attendre février 2025 pour disposer du règlement délégué (UE) 2025/301 du 23 octobre 2024 précisant le contenu et les délais pour la notification initiale des incidents majeurs liés aux TIC et le contenu de la notification volontaire cybermenaces importantes. Ce n’est qu’en juin 2025 qu’ont été publiés les critères utilisés pour identifier les entités financières tenues d’effectuer des tests d’intrusion fondés sur la menace avec le règlement délégué (UE) 2025/1190 du 13 février 2025. Et enfin, au mois de juillet 2025, ont été dévoilés les éléments qu’une entité financière doit déterminer et évaluer lorsqu’elle sous-traite des services TIC qui soutiennent des fonctions critiques ou importantes avec la publication du règlement délégué (UE) 2025/532 du 24 mars 2025.

Afin que la supervision puisse être correctement mise en œuvre, les prestataires critiques établis dans un pays tiers qui fournissent des services informatiques aux entités financières dans l’UE sont désormais tenus d’établir une filiale dans l’UE, disposant de 12 mois à compter de leur désignation pour l’établir. Mais ce n’est que le 18 novembre 2025 qu’a été publiée la première liste des 19 prestataires tiers critiques de TIC. Néanmoins, tant les entités financières qui sont des succursales dans des pays tiers que les filiales d’une entité financière de l’Union situées hors UE ne sont pas des entités financières au sens de DORA.

Notons également que les travaux de transposition de DORA en droit français ont commencé le 15 octobre 2024 avec le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité. Si le 12 mars 2025, le Sénat avait adopté sa version du texte, depuis le dépôt le 10 septembre 2025 du texte de la Commission spéciale de l’Assemblée nationale, le processus est au point mort. DORA étant d’application directe, cela ne l’empêche pas de se déployer, y compris avec ses règlements d’implémentation, mais la question de la coordination avec les textes nationaux reste ouverte.

Enfin, prenant acte de la mise en œuvre de DORA par les établissements assujettis à sa supervision dans le cadre du mécanisme de supervision unique, la Banque centrale européenne (BCE) a publié le 21 novembre 2025 une version actualisée de son cadre de tests contrôlés contre les cyberattaques sur les marchés financiers. Ainsi, DORA fixe le « quoi », tandis que le TIBEREU- (European framework for threat intelligence-based ethical red-teaming) précise le « comment » opérationnel pour satisfaire aux exigences DORA relatives aux tests d’intrusion fondés sur la menace applicable aux établissements significatifs.

Bien avant DORA, l’externalisation de tâches opérationnelles essentielles ou importantes au sens de la règlementation française qui a précédé les orientations européennes, ou de fonctions critiques ou importantes au sens des orientations de l’Autorité bancaire européenne (ABE) faisait déjà l’objet d’une grande attention de la part des régulateurs. Ces notions françaises et européennes n’étant d’ailleurs pas limitées aux services TIC exercés par un établissement financier. Au niveau européen, le Comité Européen des Superviseurs Bancaires, puis l’ABE ont formulé des orientations visant à préciser les attentes (qui demeurent avec DORA) des régulateurs, notamment au regard de la solidité du dispositif de contrôle interne de l’établissement, du droit d’audit et d’accès des régulateurs, des chaines de sous-traitance, de documentation contractuelle (même au sein d’un groupe), de la résilience opérationnelle...

Un autre enjeu est de s’assurer que l’établissement ne devienne pas une coquille vide dans l’hypothèse où un grand nombre de fonctions seraient externalisées : la question s’est posée en particulier au moment de la sortie du Royaume-Uni de l’UE avec beaucoup établissements s’établissant en Europe continentale et externalisant de multiples fonctions à des entités anglaises de leur groupe.

Ainsi, les régulateurs voudront s’assurer que cette externalisation n’empêchera pas l’établissement de superviser efficacement celle-ci. Cela suppose donc que l’établissement conserve suffisamment de moyens techniques et humains pour ce faire. Or, en pratique, si un établissement externalise une fonction critique ou importante, c’est souvent par manque de moyens ou de compétences en interne.

Par ailleurs, certains établissements peinent à imposer les mentions obligatoires qui doivent figurer dans de tels contrats. Or, les régulateurs, en particulier au moment d’une demande d’agrément vont généralement examiner ces contrats et demander leur modification en cas de manquement de certaines mentions (en particulier celle leur conférant un droit d’audit).

Rappelons enfin que l’Autorité de contrôle prudentiel et de résolution (ACPR) avait publié un communiqué le 22 juillet 2021 pour rappeler aux parties prenantes leurs obligations en matière d’externalisation dans un contexte de hausse du recours à des prestataires externes pour l’exécution de prestations présentant un caractère essentiel ou critique et la nécessité de contrôler suffisamment les prestations externalisées, tout particulièrement quand ces prestations présentent un caractère essentiel ou critique. L’ACPR avait également rappelé qu’elle pouvait demander à avoir un accès direct aux informations d’un sous-traitant voire diligenter chez lui une extension d’un contrôle sur place.

DORA transforme la manière dont les entités financières acquièrent, contractualisent et supervisent les prestataires tiers de services TIC. Si l’attention s’est beaucoup portée sur la notification des incidents liés aux TIC et les tests, la friction la plus immédiate s’est révélée contractuelle. Des accords cloud avec les hyperscalers aux outils fintech de niche, les entreprises doivent intégrer une nouvelle couche d’obligations de résilience opérationnelle numérique liées aux TIC dans leurs contrats fournisseurs – souvent à rebours des normes de marché et de clauses héritées qui n’ont jamais été conçues pour DORA.

Au cœur de DORA, les entités financières doivent veiller à ce que les contrats avec les prestataires de services TIC contiennent des stipulations spécifiques et exécutoires liées à la résilience et à la supervision. Cela comprend des niveaux de service clairs et mesurables ; des obligations détaillées en matière de sécurité, de continuité d’activité et de reprise après sinistre ; des droits d’accès, d’inspection et d’audit pour l’entité financière et les autorités compétentes ; des délais de notification des incidents liés aux TIC et des modalités de coopération ; des garanties relatives à la localisation, à l’intégrité et à la confidentialité des données ; des contrôles de sous-traitance ; un appui à la sortie et à la transition (y compris la portabilité des données) ; ainsi que des droits de résiliation lorsque le risque devient inacceptable. Pour les services TIC soutenant des fonctions « critiques ou importantes », ces obligations doivent être rigoureuses, appuyées par des plans de sortie testés et par un suivi continu des performances et des risques.

En pratique, il y a plusieurs points de tension. Les exigences de DORA sont plus larges, tant par leur périmètre – au vu de l’interprétation extensive de services TIC que par l’obligation contractuelle, que les lignes directrices de l’ABE sur l’externalisation. Elles heurtent par endroits des positions de marché ancrées, en particulier chez les prestataires non européens de grande taille. Schématiquement, les points de tension sont de quatre ordres.

En premier lieu, il faut savoir si le service est critique et important ou non. Les prestataires de services voudront souvent argumenter que tel n’est pas le cas, afin de ne pas devoir se soumettre aux clauses contractuelles plus strictes. L’ultime responsabilité pour définir la criticité reste néanmoins à la charge de l’entité financière.

Ensuite, il est nécessaire de gérer les droits d’accès, d’inspection et d’audit sur les locaux, systèmes et données pertinents pour le service pour les entités financières. Les prestataires s’opposent aux audits sur site et proposent des inspections virtuelles. Les clients doivent alors concilier les attentes des superviseurs avec des alternatives pratiques – audits mutualisés, rapports d’assurance indépendants ou surveillance continue renforcée – sans diluer leur capacité à en démontrer la conformité.

Il est, par ailleurs, primordial de maîtriser les chaînes de sous-traitance car DORA impose la transparence, une notification préalable (et parfois un consentement), ainsi que la capacité de gérer les risques de concentration. Les prestataires ont tendance à résister aux droits de consentement couvrant toute leur chaîne d’approvisionnement, ne proposant que des notifications et des listes de haut niveau. Un défi supplémentaire a été que les normes techniques sur la sous-traitance n’ont été publiées qu’en juillet 2025, alors que DORA s’appliquait déjà depuis janvier 2025.

Enfin, il faut s’assurer des plans de sortie testés et opérables, de la portabilité des données dans des formats utilisables, et de l’assistance du prestataire à des tarifs définis imposés par DORA. Les contrats hérités mentionnent souvent la résiliation, mais disent peu sur la manière dont une entreprise migrerait effectivement tout en maintenant la continuité de service.

Un paysage contractuel conforme à DORA est traçable, testable et défendable. La réalité commerciale demeure importante, mais la charge de gouvernance s’est déplacée : les entités financières doivent non seulement négocier les clauses, mais aussi opérer les contrôles que ces clauses exigent, et en apporter la preuve sous l’examen des superviseurs. En pratique, au regard des contrats, pour assurer la conformité à DORA, cela implique de refondre les positions contractuelles standards avec les prestataires clés, de cartographier et adapter les contrats hérités au risque, et de mettre en place la capacité opérationnelle – surveillance des services, gouvernance des tiers et tests – pour que la documentation contractuelle reflète la réalité. DORA rehaussant le niveau minimal, les entreprises qui l’aborderaient comme un simple exercice de mise en conformité documentaire découvriront que l’épreuve réelle surviendra alors brutalement lors du prochain incident opérationnel.